Phishing en un sitio Web comprometido

A raíz de una consulta de un alumno del curso de Hacking Ético, decidí investigar acerca de un enlace que había recibido de un amigo suyo, que éste no había enviado. Me comentaba que se trataba de un enlace falso que al parecer robaba las credenciales de algunos servicios de correo como Gmail. Obviamente, a nosotros en hacking-etico.com todo lo que sea investigar este tipo de delitos nos encanta, y si puede servir para ayudar y concienciar, mejor.

En primer lugar utilicé servicios online para analizar URL y verificar si se trata de una URL maliciosa o no, y en caso de que lo sea, por qué y qué motores de análisis lo detectan como tal. He usado virustotal.com obteniendo el siguiente resultado.

Phishing en un sitio Web comprometidoPara evitar problemas de confidencialidad y reputación, hemos preferido ocultar los datos del sitio Web. Además desde el equipo de hacking-etico.com nos pondremos en contacto con los responsables del sitio advirtiéndoles de que están siendo víctimas y su sitio está siendo usado para realizar phishing. Sí se puede observar que se trata de un dominio .com.ve, de Venezuela.

Como podéis observar dos motores, de los más importantes, nos indican que se trata de un sitio Web malicioso. Incluso Fortinet va más allá y lo cataloga como un sitio de phishing. Mini-punto para Fortinet. Read more

Descubriendo otro perfil falso en Facebook

En una entrada anterior ya explicábamos cómo utilizar Google Images para buscar una imagen que ha sido usada en otros sitios Web, como por ejemplo, en redes sociales con perfiles falsos. De hecho en esa entrada ya nos centrábamos en un perfil falso de Facebook.

Hoy volvemos a explicarlo pero con un perfil muy reciente, que posiblemente muchos de vosotros estéis viendo en Facebook con algún tipo de promoción de la red social o con el típico mensaje de “Personas que quizás conozcas“. O porque te lo comente un amigo por Facebook, como ha sido el caso de mi amigo Tino.

Perfil falso en FacebookEn este caso se trata de un perfil llamado Bella Dulce en el que aparece una chica ligerita de ropa y con un “postureo” muy sugerente. Otra cosa que me llama la atención es que supuestamente estudia en la Universidad de Málaga [...] Bien, todo es posible. Read more

iOS Hack: Arquitectura de seguridad en iOS

En la entrada anterior de esta serie sobre iOS Hack hablamos sobre la necesidad de “romper la jaula” en el sistema operativa, es decir, hacer un Jailbreak. En esta siguiente entrada de la nueva serie, veremos cómo es la arquitectura de seguridad en iOS y entenderemos mejor el por qué de tener “jailbreakeado” nuestro dispositivo para hacer pruebas de intrusión o hacking ético en iOS.

Apple publica periódicamente su documento de seguridad iOS, donde explica los mecanismos de seguridad que utilizan para proporcionar el máximo nivel de seguridad a su sistema operativo y Apps. La información aquí mostrada está extraída de dicho documento, que en este caso data de febrero de este año.

iOS Hack: iOS Security

Todos los mecanismos de seguridad los podríamos agrupar en mecanismos de tipo software y mecanismos de hardware / firmware. Desde el nivel más bajo, en el hardware, se encuentra “grabado” el Device Key, que es único para cada terminal. Además en la ROM se almacena el Apple Root Certificate, usado para cifrar, firmar y comprobar la autenticidad.

Por encima, cuenta con un motor de cifrado llamado Crypto Engine.

Desde el punto de vista del software, todo el sistema de ficheros se encuentra cifrado, tanto la partición del sistema operativo como la de usuario. A esto hay que añadir que los datos de esta partición están cifrados. Para completar la seguridad a nivel de software, iOS ejecuta cada App en una sandbox propia de cada App, lo que prohibe el acceso a datos de otra aplicación o interacción entre Apps. Aislamiento total entre aplicaciones.

iOS Hack: Arquitectura de seguridad Read more

iOS Hack: preparando entorno de pruebas

Con este artículo estrenaré una nueva serie de entradas llamada iOS Hack dedicada a todo lo relacionado con el pentesting de dispositivos y aplicaciones iOS, que como sabéis es el sistema operativo usado por los dispositivos de Apple.

Cada vez son más los dispositivos móviles que utilizamos día a día, ya sean smartphones o tablets. Lo hacemos para consultar nuestro correo electrónico, redes sociales, jugar o ver vídeos online. Son muchas las aplicaciones nuevas que aparecen todos los días, por lo tanto creemos que este tema se merece un espacio en nuestro blog.

Como no podía ser de otra forma, en este primera entrada explícaremos cómo preparar un entorno de pruebas de intrusión en un dispositivo con sistema operativo iOS. Al igual que en Android necesitamos rootear el dispositivo para tener acceso al sistema de ficheros o conseguir una elevación de privilegios, en un iPhone o iPad ocurre lo mismo. En este caso se le atribuye el concepto de romper la jaula (jail), de ahí que a esta técnica se le conozca como JailBreak. Esta técnica, además de lo comentado anteriormente, nos proveerá de un nuevo gestor de paquetes, Cydia.

Cydia - iOS Hack

¿Por qué necesitamos hacer JailBreak? Básicamente porque necesitamos acceder a todo el sistema de ficheros, sin ningún tipo de limitación, necesitamos poder monitorizar aplicaciones y procesos y necesitamos más permisos que los que vienen por defecto, que son muy limitados. En realidad, lo se hace es una elevación de privilegios del usuario mobile a root.

Hay muchísimos sitios Web donde se explica cómo hacerlo, no entra en el ámbito de estos artículos explicar cómo hacer un JailBreak a un dispositivo iOS. Read more

Vulnerabilidad XSS en TweetDeck

Hace cuestión de horas, se ha encontrado una vulnerabilidad XSS en TweetDeck. Para el que esté algo perdido o crea que mi lenguaje es una variación del arameo, TweetDeck es un cliente para Twitter. Significa esto que es una aplicación que utiliza la API de la red social de los 140 caracteres (y los retuits, tuits, etc…) para interactuar con el usuario, ofreciéndole personalizaciones tanto de pieles, formato, retuits, etcétera.

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.

Es posible encontrar una vulnerabilidad XSS en aplicaciones que tengan entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.

Esta situación es usualmente causada al no validar correctamente los datos de entrada que son usados en cierta aplicación, o no sanear la salida adecuadamente para su presentación como página web.

Fuente: Wikipedia

Como amante de la personalización de todo aparato electrónico, llámese móvil, tablet, PC, portátil, TV, Raspberry, etc… alguna vez he usado aplicaciones de este tipo, es más, creo que las he utilizado todas, tales con Falcon Pro, TweetDeck, Plume, Carbon, Talon, y así una larga lista. Básicamente puedes moldear tu cuenta twitter a tu gusto y sobre todo usar la función multicuenta que Twitter Oficial implementó hace ya varias versiones.

Actualmente uso la aplicación oficial, si bien es cierto que no es santo de mi devoción, pero las  limitaciones de la API de Twitter hacia los clientes de terceros hace que utilizar estos clientes en momentos de tráfico intenso, sea misión imposible. Y precisamente no es que sea paciente.

TweetxssDeck Read more

Curso de Hacking Ético de Sistemas y Redes – HESR01 Intensivo

Nuevo curso de hacking ético de sistemas y redes intensivo del 1 al 15 de Julio de 2014

¡Además con un precio especial de tan sólo 199 euros!

Para adaptarnos a estas fechas de vacaciones y completar nuestra oferta formativa, hemos decidido lanzar un curso de hacking ético especial e intensivo de dos semanas de duración. Toda la información del curso la podéis consultar en la ficha técnica del mismo en el siguiente enlace:

Ficha técnica del curso

¿A qué esperas para introducirte en el mundo del Hacking Ético?

Para solicitar más información:

Rellenando formulario en: http://hacking-etico.com/cursos-de-seguridad-informatica/

Por correo electrónico a: formacion@svtcloud.com

¡Te esperamos!

 

Ataque de inyección CCS con MITM en OpenSSL (CVE-2014-0224)

Todavía no nos hemos recuperado del susto del Heartbleed cuando aparece una nueva vulnerabilidad crítica en OpenSSL (CVE-2014-0224). Parece que se está poniendo de moda las vulnerabilidades en las librerías de cifrado. En este caso se trata de combinar un ataque de Man-in-the-Middle (MITM) con una inyección de paquetes CCS para renegociar los atributos de seguridad de la conexión segura.

openssl-logo

Bien es cierto que para que el ataque tenga éxito, tanto el cliente como el servidor han de ser vulnerables. Parece ser que todos los clientes OpenSSL son vulnerables, y los servidores los de la versión 1.0.1, además el atacante tiene que estar en disposición de poder hacer un MITM. Hoy en día con las redes WiFi disponibles en bares, restaurantes, hoteles o aeropuertos esto es más probable que hace 10 años.

¿Cómo se realizaría el ataque?

Las sesiones SSL/TLS se inician con los mensajes de ClientHello y ServerHello desde ambos lados de la conexión, similar al handsake en las conexiones TCP/IP. Durante esta parte del protocolo se negocian los atributos de la sesión como por ejemplo las claves de cifrado o protocolo de cifrado.

Read more

Detección y respuesta de amenazas continuas

Desde SourceFire nos llega este documento “Detección y respuesta de amenazas continuas” que trata sobre cómo han cambiado y evolucionado las amenazas y la importancia que tiene no sólo focalizar nuestra atención en el Point-in-Time del ataque, sino con un nuevo enfoque del tratamiento del mismo hasta llegar al punto final; antes, durante y después.

Como sabemos que será un documento (en inglés) que os interesará lo compartimos con todos vosotros. Esperamos que os sea de utilidad y nos sirva a todos para ver las amenazas y ataques desde otras perspectivas y haciendo hincapié en el factor tiempo. Ya no vale con sólo reaccionar a un ataque, hay que prevenirlo y si sufrimos alguno, mitigar los riesgos y poner las contramedidas oportunas para que no vuelva a pasar. Antes, durante y después.

Enlace al documento: Detección y respuesta de amenazas continuas

Origen: SourceFire

El misterioso TrueCrypt

Hace ya 4 años publicamos en nuestro blog un artículo sobre TrueCrypt en el que comentábamos cómo usar este programa para proteger y blindar nuestra información. Por aquellos entonces era una opción de confianza y sobre todo muy robusta.

Se comentaba en Internet que incluso era utilizado por algún grupo terrorista para cifrar su información de las Fuerzas y Cuerpos de Seguridad del Estado. Posteriormente a la publicación de este artículo, Internet se hizo eco en diversas Webs sobre el misticismo de TrueCrypt, nadie sabía nada de este software.

0-TrueCrypt

En neoteo.com por ejemplo comentan en su artículo:

Son muy numerosos los usuarios que prefieren proteger su contenido digital bajo el candado de TrueCryptpero no sabemos nada sobre este programa, más allá de lo que ya está disponible. Su última versión es la 7.1a, y fue lanzada en febrero de 2012. Posee algunos detalles de compatibilidad (por ejemplo, no puede cifrar particiones en sistemas UEFI), y su rendimiento no es siempre el mejor, lo que ha llevado a considerar otras alternativas. La información sobre su portal no revela nada más allá del hosting… y sus responsables frente al teclado son un verdadero misterio. Puede ser un grupo de hackers anónimos, un programador solitario en un garaje, o incluso la misma NSA.

Pues hace unas horas la historia vuelve a “repetirse”. Aparece un misterioso mensaje en la Web de este software.

Read more

CONAN Mobile de INTECO

INTECO (Instituto Nacional de Tecnologías de la información) lanza CONAN Mobile, una aplicación gratuita que nos permite proteger nuestro dispositivo Android facilitándonos información acerca del estado de seguridad del dispositivo.

Sin lugar a dudas, una App que no puede faltar en nuestro repositorio de aplicaciones de nuestro Android. Puedes descargarlo en Google Play y testear en el momento el nivel de seguridad de tu dispositivo. Interesante, ¿verdad?

A continuación os enseñamos lo fácil que resulta lanzar un análisis del dispositivo así como una breve explicación de algunos de los resultados que podemos obtener.

En primer lugar descargamos e instalamos la aplicación desde el Play Store. (Los colores del icono de la aplicación no corresponden exactamente. Nuestro dispositivo “rooteado” ha tocado la paleta de colores del dispositivo “más de la cuenta;-)

Conan Mobile
Una vez localizada la aplicación, la instalamos y previamente aceptamos los permisos que la aplicación necesita para ejecutarse correctamente. Es muy importante que revisemos bien los permisos de cualquier aplicación que vayamos a instalar en nuestro dispositivo.
CONAN MobileUna vez aceptados los permisos e instalada la aplicación ya podremos hacer uso de ella. La ejecutamos y nos aparecerá un aviso de que es una versión Beta así como un enlace para leer las condiciones del servicio. Recordar que se trata de una versión Beta, por lo que no se puede garantizar un funcionamiento totalmente correcta de la aplicación.

CONAN MobileUna vez aceptada esta ventana, ya tan sólo nos queda lanzar el análisis de seguridad del dispositivo. Si, ¡así de sencillo!

CONAN MobilePulsamos botón “Analizar mi dispositivo” y tan sólo unos segundos después tendremos los resultados del análisis en pantalla.

Read more